Onderzoeksjournalist publiceert over mogelijke identiteit auteur Mirai-malware

Onderzoeksjournalist Brian Krebs heeft een uitgebreid artikel gepubliceerd over de persoon achter de Mirai-malware. Iemand gebruikte deze malware om Krebs' site vorig jaar plat te leggen. De auteur van de malware publiceerde onder de naam Anna-senpai eerder de broncode.

Het onderzoek van Krebs, dat naar eigen zeggen honderden uren in beslag nam, bestaat voornamelijk uit verschillende gesprekken met en tussen personen die kennis hebben van de mensen achter Mirai. De conclusie van de onderzoeker is dat de Mirai-malware hoogstwaarschijnlijk is ontwikkeld door de twintigjarige directeur van het bedrijf ProTraf, dat onder andere anti-ddos-diensten verleent aan Minecraft-servers. Hij is bekend onder verschillende namen, waaronder 'OG_Richard_Stallman', 'Dreadiscool' en 'Anna-senpai'. Om alle namen uit het onderzoek bij te houden, heeft Krebs een lijst opgesteld.

De eerste aanwijzing die Krebs op het spoor bracht, is de realisatie dat Mirai niet het eerste botnet is dat bestaat uit slecht beveiligde internet-of-things-apparaten. Voorgaande versies stonden bekend onder namen als Bashlite/Bashlight en Qbot. Die eerste naam kwam ook terug in een eerste analyse van de ddos op de site van Brian Krebs in september.

Een ddos-groep met de naam 'lelddos', waarvan twee leden weer verbonden zijn aan ProTraf, gebruikte deze malware. Een van deze leden zou bovendien de ontwikkelaar zijn geweest van de malwarevarianten. De ddos-groep richtte zich voornamelijk op aanvallen op Minecraft-servers.

Door deze omstandigheden richt Krebs zich op ProTraf en de directeur van het bedrijf. De onderzoeker noemt een sterke overeenkomst tussen de genoemde programmeervaardigheden van de directeur op zijn LinkedIn-profiel en het profiel van Anna-senpai op de site Hackforums. Dat is de site waarop Anna-senpai de malware in oktober vrijgaf. Het blijkt dat deze persoon de malware ontwikkelde om apparaten over te nemen die met oudere varianten zoals Qbot geïnfecteerd waren, en zo een krachtiger botnet te bouwen.

De ProTraf-directeur gebruikte het Mirai-botnet onder andere om providers te dwingen Qbot-c2-servers offline te halen, oftewel te nullen, en om verschillende partijen af te persen. Hij zou de aanval op de site van Krebs niet zelf uitgevoerd hebben; dit zou het werk zijn van een klant die het botnet van hem huurde voor vijfduizend dollar per week.

Het onderzoek van Krebs laat enkele vragen open, zoals de precieze reden achter het publiceren van de broncode van de malware en wat de vervolgstappen zijn. Het is onduidelijk of de FBI actie zal ondernemen naar aanleiding van de ontdekkingen van de onderzoeker. Door de grootte van het onderzoek is het niet mogelijk alle delen te benoemen, een detail is dat de Mirai-malware naar de animeserie 'Mirai Nikki' is vernoemd. De auteur van de malware lijkt fan te zijn van verschillende series uit dat genre.

mirai post Het bericht bij de publicatie van de Mirai-broncode

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-01-2017 10:52 35

19-01-2017 • 10:52

35

Lees meer

Maker Mirai-botnet moet universiteit 8,6 miljoen dollar schadevergoeding betalen
Maker Mirai-botnet moet universiteit 8,6 miljoen dollar schadevergoeding betalen Nieuws van 28 oktober 2018
'Amerikaanse overheden ontvangen cd-roms met kwaadaardige doc-bestanden'
'Amerikaanse overheden ontvangen cd-roms met kwaadaardige doc-bestanden' Nieuws van 27 juli 2018
Verdachten bekennen schuld aan ontwikkelen Mirai-malware
Verdachten bekennen schuld aan ontwikkelen Mirai-malware Nieuws van 13 december 2017
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet Nieuws van 29 augustus 2017
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers' Nieuws van 21 augustus 2017
Mirai-malware had tijdelijk een add-on voor bitcoinmining aan boord
Mirai-malware had tijdelijk een add-on voor bitcoinmining aan boord Nieuws van 11 april 2017
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar Nieuws van 7 april 2017
Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden
Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden Nieuws van 31 oktober 2016
Dyn schat omvang recente ddos-aanval op honderdduizend apparaten
Dyn schat omvang recente ddos-aanval op honderdduizend apparaten Nieuws van 27 oktober 2016
'Leden van hackerforum voerden ddos-aanval op Dyn uit' - update
'Leden van hackerforum voerden ddos-aanval op Dyn uit' - update Nieuws van 26 oktober 2016
Chinese fabrikant roept apparaten terug die bij Dyn-ddos gebruikt werden
Chinese fabrikant roept apparaten terug die bij Dyn-ddos gebruikt werden Nieuws van 24 oktober 2016
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet Nieuws van 22 oktober 2016
Broncode van malware achter iot-botnet Mirai verschijnt online
Broncode van malware achter iot-botnet Mirai verschijnt online Nieuws van 3 oktober 2016
Onderzoeksjournalist waarschuwt voor 'censuur' via ddos-aanvallen
Onderzoeksjournalist waarschuwt voor 'censuur' via ddos-aanvallen Nieuws van 26 september 2016
Akamai stopt hosting bekend beveiligingsblog na grootschalige ddos-aanval
Akamai stopt hosting bekend beveiligingsblog na grootschalige ddos-aanval Nieuws van 23 september 2016
Israëlische autoriteiten arresteren verdachten achter ddos-dienst vDOS
Israëlische autoriteiten arresteren verdachten achter ddos-dienst vDOS Nieuws van 12 september 2016
Meer producten en artikelen
Netwerk en systeembeheer Botnetwerk Ddos Malware Security

Reacties (35)

-Moderatie-faq
35
33
14
4
1
6
Wijzig sortering
poerkiemen 19 januari 2017 11:57
Dit vind ik een uiterst interessant nieuwsartikel. Ik heb in 2012-2014 samen met deze jongen/man gewerkt en gesproken. Destijds had deze jongen al een grote interesse in ddos en heeft toen der tijd verscheidene keren PlanetMinecraft.net plat gekregen, werkte hij aan bukkit (Developer-api voor het ontwikkelen van plug-ins) en herinner ik mij enkele gesprekken over d-dos protectie (waar de servers waar hij werkzaam was last van hadden). Dit alles naast dat het ontwikkelen van plug-ins voor de zelfde servers.

Tot begin 2014 was hij altijd een vriendelijke/behulpzame jongen geweest. Hij heeft mij geïntroduceerd in de wereld van Java en heeft mij verscheidene stukken code toegestuurd en uitgelegd (Die ik tot op heden nog steeds bezit). Echter Merkte je een wezenlijk verschil in gedrag halverwege 2014. Hij ging zich meer focussen op minder legaal programmeren. wat mij ook uiteindelijk heeft doen besluiten het contact te verbreken.

Voor degene die het interessant vinden om te zien wat hij al deed en kon op 16/17 jarige leeftijd:
Bukkit account: https://bukkit.org/members/dreadiscool.45428/
Googelen op de termen "CraftEra.com minecraft"& "MCkillzone.com Minecraft" zal interessante videos van zijn plug-ins opleveren toen hij een "beginnend" programmeur was.

[Reactie gewijzigd door poerkiemen op 23 juli 2024 04:43]

biglia @poerkiemen19 januari 2017 20:01
"Hij" heeft 5 dagen geleden nog een verklaring gegeven op reddit: https://www.reddit.com/r/.../?st=iy4qsho8&sh=3d6d6675 . Blijkbaar leeft hij ondergedoken.

[Reactie gewijzigd door biglia op 23 juli 2024 04:43]

SED @poerkiemen19 januari 2017 12:21
Dat past goed bij dit stukje
Coelho said he’s known Paras Jha for more than four years, having met him online when Jha was working for Minetime — which ProxyPipe was protecting from DDoS attacks at the time.

“We talked a lot back then and we used to program a lot of projects together,” Coelho said. “He’s really good at programming, but back then he wasn’t. He was a little bit behind, and I was teaching him most everything.”

According to Coelho, as Jha became more confident in his coding skills, he also grew more arrogant, belittling others online who didn’t have as firm a grasp on subjects such as programming and DDoS mitigation.

“He likes to be recognized for his knowledge, being praised and having other people recognize that,” Coelho said of Jha. “He brags too much, basically.”
“He likes to be recognized for his knowledge, being praised and having other people recognize that,” Coelho said of Jha. “He brags too much, basically.”

Coelho said not long after Minetime was hit by a DDoS extortion attack in 2013, Paras joined Hackforums and fairly soon after stopped responding to his online messages.

“He just kind of dropped off the face of the earth entirely,” he said. “When he started going on Hackforums, I didn’t know him anymore. He became a different person.”
SED 19 januari 2017 11:20
Duurde even voordat ik de verantwoordelijke persoon vond.
Four months later, Brian Krebs has published what, to my mind, seems like pretty convincing proof of the identity of the person behind the Mirai botnet: Paras Jha, a Rutgers student and, per his LinkedIn profile, president at ProTraf Solutions “a DDoS mitigation firm that has a proven track record in mitigating DDoS attacks that competitors cannot.”
http://nymag.com/selectal...ake-the-mirai-botnet.html
toevoeging uit deze bron ( samnevatting van Krebs)
You can see the problem here: The creator of Mirai has the bad habit of bragging, and can’t stop reaching out to various people to gloat about his abilities to bring them to their knees. It all builds up until Krebs finally gets confirmation from one Ammar Zuberi, a friend of Paras Jha, who tells Krebs, “When I saw that the Mirai code had been leaked on that domain at Namecentral, I straight up asked Paras at that point, ‘Was this you?,’ and he smiled and said ‘yep.’”
Ondanks de rare beoordeling van dit stukje met off-topic?? Ga ik toch maar even door ;)

Bovenstaande korte samenvatting van het zeer uitgebreide Krebs stuk is zinvol in het opsommen van de conclusies.
Ik adviseer trouwens ten zeerste het originele Krebs stuk te lezen. daar zie je hoe degelijk en uitgebreid zijn onderzoek ook daadwerkelijk is.
Dat arrogantie, overmatige ego's en opscheppen de oorzaak van de val zijn mag niet verwonderen. In de hackwereld is opscheppen een van de drivende krachten.

[Reactie gewijzigd door SED op 23 juli 2024 04:43]

jibjqrkl 19 januari 2017 11:08
Mirai betekent "toekomst" in het japans. Geen idee waarom daar de link naar een anime wordt gelegd. Lijkt me toch een woord wat vaker voorkomt
Plainside @jibjqrkl19 januari 2017 11:18
Zie de User profile op het forum van HF(Hack Forums).
Dan zie je al snel de koppeling die gelegd is.
SED @jibjqrkl19 januari 2017 11:50
Je zult het stuk op Krebs echt even moeten lezen om de link die gelegd is te begrijpen. Die is erg overtuigend namelijk en heeft weinig te doen met de betekenis van de naam.
5:25:12 PM] live:anna-senpai: i rewatched mirai nikki recently
[5:25:22 PM] live:anna-senpai: (it was the reason i named my bot mirai lol)

[Reactie gewijzigd door SED op 23 juli 2024 04:43]

matroosoft @jibjqrkl19 januari 2017 11:25
Senpai? Is toch ook iets wat uit de anime afkomstig is? Al lijkt deze methode niet de beste manier om aandacht te krijgen van z'n senpai. :)
corset @matroosoft19 januari 2017 11:43
Nee, Senpai is een term die al tijden in japan wordt gebruikt, zelfs voor anime :)

De link is aan de ene kant logisch, maar toch wat meer kennis zou welkom zijn als je zulke links in artikelen gaat maken :D
Anoniem: 263284 @matroosoft19 januari 2017 15:49
https://en.wikipedia.org/wiki/Senpai_and_k%C5%8Dhai
ikt @jibjqrkl19 januari 2017 12:17
Gezien zijn andere nicknames (OG_Richard_Stallman, Anna-senpai), de groepnaam (lelddos), het taalgebruik (*-chan) en de anime avatars is het meer voor de hand liggend dat het een verwijzing is naar de anime, dan de betekenis van het woord ;) Ook zal de beste man dit stukje internet"cultuur" van 4chan of een soortgelijk Engelstalig discussieforum hebben gekregen.
dehardstyler 19 januari 2017 11:00
Het onderzoek van Krebs laat enkele vragen open, zoals de precieze reden achter het publiceren van de broncode van de malware en wat de vervolgstappen zijn.
Nou ik denk dus dat Mirai online gezet is, zodat de auteur zichzelf zou kunnen verbergen. Omdat iedereen ineens die malware gaat gebruiken, valt de eerste gebruiker minder op. Misschien is de auteur geschrokken toen een van zijn klanten zijn malware op de site van Krebs gebruikte?
YopY @dehardstyler19 januari 2017 11:50
Dan zou ik eerder juist helemaal niks meer doen, alles wat je op internet zet is immers voor altijd. Zeker broncode en een auteur / posts zijn terug te leiden. Ik vraag me af of het al mogelijk is iemand te identificeren adhv code style.
Hardwareseller 19 januari 2017 12:38
Ok er zijn een paar puntjes in dit artikel.

Het zijn meer routers, raspberry pi's, printers en IP camera's die zijn geïnfecteerd.

Daarnaast is mirai gericht op Layer7 aanvallen(http-get-requests-attacks), niet op UDP/TCP.


Zelf een beetje onderzoek gedaan en een mirai botnet opgebouwd voor educatieve redenen. Met rond de 1000bots (vooral routers en camera's, paar raspberry pi's) haalde hij 2.41gbps aan raw packets. Wat erg interessant was dat het woord "1337' terugkomt in elke packet dat het verzend, oftewel leet. Met layer7 is het een stukje erger, je haalde zo op het Akamai grafiek 200.000 aanvragen per seconde.
SED @Hardwareseller19 januari 2017 14:22
Krebs, geeft zelf aan dat het vooral Ip cameras zijn.(printers zijn slechts zelden extern bereikbaar en Raspb is degene die iets installeerde de "schuldige". Uit zichzelf zal een Rasp niet kwetsbaar zijn.

Voor een diepgaande analyse van mirai kijk eens hier:
https://www.incapsula.com...is-mirai-ddos-botnet.html
For network layer assaults, Mirai is capable of launching GRE IP and GRE ETH floods, as well as SYN and ACK floods, STOMP (Simple Text Oriented Message Protocol) floods, DNS floods and UDP flood attacks.
Hardwareseller @SED19 januari 2017 15:23
Er zijn genoeg mensen die pi:raspberry gebruiken zonder t aan te passen. En daarnaast, Printers in China die open staan (idd niet veel) IpCamera's van specifieke merken zijn vooral erg kwetsbaar.
RADRIGUZ @Hardwareseller20 januari 2017 15:22
Staan die raspberry's dan niet achter een router?
Hardwareseller @RADRIGUZ21 januari 2017 12:26
Ja, maar de router kan Goed beveiligd zijn. Als de raspberry pi met een publiekelijk ip op port 22 open staat kun je al bruteforce.
i2Paq 19 januari 2017 11:04
Typo: "Hij is bekend over verschillende namen", moet zijn: "Hij is bekend onder verschillende namen"

jaja, ik weet het, daar is een andere tool voor, maar geen idee wat de link is en deze zou eigenlijk bij/onder elk artikel moeten staan :Y)

nb. Dit bedrijf, ProTraf, kan zijn deuren wel sluiten als het waar is.

[Reactie gewijzigd door i2Paq op 23 juli 2024 04:43]

401096 @i2Paq19 januari 2017 11:05
Die staat ook direct onder de titel. Het knopje heet "feedback"
i2Paq @40109619 januari 2017 11:07
Als ik daar op klik, wat ik eerst ook deed, dan krijg ik me toch een lijst topics.
Is het de bedoeling dat ik dan een topic aanmaak over dit topic/artikel?
dehardstyler @i2Paq19 januari 2017 11:09
Je kunt er natuurlijk ook gewoon voor kiezen om niks te zeggen en het artikel gewoon verder te lezen. :z
Raventhorn @i2Paq19 januari 2017 11:09
Helemaal bovenaan staat het topic 'Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 44' :)
Daar kan het in een bericht worden geplaatst :)
Staan ook een paar voorbeelden in (momenteel 'maar' 179 pagina's :))

[Reactie gewijzigd door Raventhorn op 23 juli 2024 04:43]

hakariki @40109619 januari 2017 11:15
En ze kunnen niet een knop maken die linkt naar iets waar de welwillende gebruiker direct een bericht kan achter laten? Het is niet vreemd dat mensen het maar steeds in de reacties blijven doen. Het is makkelijker. Aan tweakers dat op te lossen.
401096 @hakariki19 januari 2017 11:34
Dus feedback kan alleen maar een schrijffout zijn? Als je opmerkingen hebt op de inhoud, moet je in een ander topic zitten. Ik begrijp de huidige wijze daarom wel en vind het niet zo een probleem om 1 keer extra te moeten klikken.
hakariki @40109619 januari 2017 12:50
"Dus feedback kan alleen maar een schrijffout zijn?"
Wie zegt dat?
401096 @hakariki19 januari 2017 13:01
Nou ze hebben verschillende topics, voor de verschillende feedback. Vandaar dat je niet direct in een topic komt. Dat is ergens toch best logisch?
GORby @40109619 januari 2017 14:05
Off-topic, maar wat mooi zou zijn is een knop op spelfouten zelf te corrigeren, en na moderatie door de auteur of een bende vertrouwde taalfreaks al dan niet online te laten verschijnen.
Anoniem: 20901 19 januari 2017 11:39
het bedrijf ProTraf, dat onder andere anti-ddos-diensten verleent aan Minecraft-servers.
Een ddos-groep met de naam 'lelddos', waarvan twee leden weer verbonden zijn aan ProTraf, gebruikte deze naam De ddos-groep richtte zich voornamelijk op aanvallen op Minecraft-servers.
Goeie markt ^O^.

[Reactie gewijzigd door Anoniem: 20901 op 23 juli 2024 04:43]

Northside @Anoniem: 2090119 januari 2017 15:08
Creëer je eigen klandizie, het is een bewezen businessmodel. :P
Danslerr 19 januari 2017 12:09
Misschien is het wel erg vergezocht, maar IoT wordt gezien als de volgende grote ontwikkeling, dus de mirai malware is de "malware van de toekomst." Aan de andere kant is mijn kennis van de Japanse taal minimaal en is dit complete onzin.
SED @mutley6919 januari 2017 16:50
U kan zich beschermen door met subnetten en routing te werken met firewalling en gateways.
Het gaat hier over DDOS. Daar werken de oplossingen van jou hier geheel NIET tegen.
Razwer @mutley6920 januari 2017 20:22
Je begrijpt het zelf niet helemaal ;)
Nobel betoog, maar veel onzin en niet relevant.
8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq